개인정보의 범위에 관한 연구 : GDPR의 비식별조치와 약학정보원 사건의 검토
= A study on the scope of personal information under Korean laws - GDPR pseudonymization and Korean KPIC case review
- 저자[authors] 양기진
- 학술지명[periodical name] 선진상사법률연구
- 권호사항[Volume/Issue] Vol.-No.84[2018]
- 발행처[publisher] 법무부
- 자료유형[Document Type] 학술저널
- 수록면[Pagination] 59-92
- 언어[language] Korean
- 발행년[Publication Year] 2018
- KDC[Korean Decimal Classification] 360
- 주제어[descriptor] 개인정보, 식별가능성, GDPR, 비식별화(조치), 익명정보, 암호화, 약학정보원, personal information, identifiability, GDPR, psedonymisation, anonymous information, encryption, Korean Pharmaceutical Information Center
초록[abstracts]
[As big data analysis and utilization has become important in industry, there are some disputes over whether certain pseudonymized data gets out of personal information protection law. In a court ruling about Korean Pharmaceutical Information Center (KPIC) in 2017, the main issues was whether multiple types of encrypted pseudonymized data is personal information or not. If psedonymisation measures are taken, the risk of identification of personal information subjects tends to be reduced, so it can be useful for information utilization as well as for safety of proceeding information. Therefore, establishing a reasonable level of pseudonymising measures to achieve social consensus has emerged as an important issue of this era. However, currently the related Korean Acts keep silent and only a guideline, which is not binding, has been trying to set a standard for appropriate level of pseudonymisation or anonymisation. Therefore, there is a need for efforts to establish concepts related to pseudonymisation or anonymisation in our law. The preferred direction would be harmonization and balance between the one axis of privacy protection (privacy protection) and the other axis of taking advantage of personal information through big data. In the future, it is necessary to examine the foreign legislations and to pursue international cooperation.
오늘날 빅데이터 분석 및 활용이 중요해지면서, 일정한 비식별정보가 개인정보보호법의 범위를 벗어나는지에 관한 분쟁이 있다. 2017년 약학정보원에 관한 법원의 판결에서, 주요 쟁점은 복수의 암호화된 비식별 정보가 개인정보에 해당하는지 였다. 비식별조치를 취할 경우 개인정보주체의 식별가능성 위험이 감소되므로 정보 관리의 안전성을 기할 수 있음은 물론, 정보 활용에 있어서도 상당히 유용할 수 있다. 따라서 사회적인 공감대를 얻을 수 있는 합리적인 수준의 비식별조치 기준 수립이 중요한 이슈로 떠올랐다. 그러나 현행 개인정보보호 관련법은 비식별화 조치에 대해 현행법은 침묵하고 법적 근거가 불분명한 가이드라인만이 제시된 상황이다. 또한 약학정보원 사건 등 개인정보의 범위, 적절한 비식별조치 기준 등에 관하여 정립되지 않은 판결들이 나오고 있다. 따라서 우리법에도 비식별화 또는 익명화와 관련한 개념을 설정하려는 노력이 필요하다. 바람직한 방향은 식별가능성이 있는 정보 보호라는 한 축(프라이버시 보호)과, 빅데이터 등을 통한 개인정보가 갖는 편익을 활용하는 나머지 한 축 간의 조화 및 균형일 것이다. 향후 입법에 있어서 외국의 입법례를 살펴보고 국제적 정합성 추구 및 국제적 공조방안 논의도 필요하다.]
목차[Table of content]
Ⅰ. 머리말 Ⅱ. 개인정보 및 비식별조치 기준 1. 개인정보의 개념 2. Breyer v. Germany 사건 3. 비식별조치와 익명화조치 4. 2016년 가이드라인의 검토 Ⅲ. 약학정보원 판결의 비판적 검토 1. 사건개요 및 쟁점 2. 적절한 비식별조치 및 통계목적 제공 Ⅳ. 맺음말